Cuando hablamos de políticas y protocolos nos referimos a las reglas del juego; en términos de seguridad digital estas reglas del juego están enfocadas en mejorar nuestra seguridad digital y reducir los riesgos.
¿Cuál es la diferencia entre planes, políticas y protocolos?
- Un plan es un conjunto de medidas o lista de pasos para llevar a cabo una acción. Un ejemplo puede ser: Tengo un plan para implementar alarmas.
- Una política son las reglas del día a día. Un ejemplo puede ser: Antes de cruzar la calle mira a ambos lados para verificar que no viene un coche. Otro ejemplo es: Si eres la última persona en salir de la oficina, verifica que las puertas y ventanas están cerradas.
- Por otro lado, un protocolo son las reglas del juego para situaciones en específico. Un ejemplo podría ser: En caso de evacuación por sismo, no corro, no grito, no empujo. Otro ejemplo es En caso de sismo, alejarse de ventanas y estructuras de cristal.
Un plan, una política y un protocolo nos ayudan a tener una idea clara de qué hacer o cómo actuar en el día a día o en escenarios específicos desde una perspectiva de seguridad.
Un plan también es un buen punto de partida para luego establecer políticas y protocolos más desarrollados.
Así, la política es una herramienta de seguridad preventiva (queremos evitar que suceda un incidente o somos conscientes de una potencial amenaza) y el protocolo es una herramienta reactiva de atención o respuesta a un suceso (cuando está sucediendo o se está concretando la amenaza).
Recuerda que estas herramientas se deben adaptar a tus contextos, recursos y necesidades. No hay un plan, protocolo o política que funcione para todas las personas y todas las circunstancias, más que una receta es un proceso que se adapta.
Pero, ¿cómo diseñar una política o protocolo? ¿Qué pasa si todo me preocupa? ¿O si no me cuesta trabajo identificar cuáles son mis prioridades en términos de seguridad?
Te compartimos consideraciones a tener en cuenta al desarrollar tus planes, políticas o protocolos en el ámbito de seguridad digital.
? Análisis para saber a qué amenazas enfocarte
Nuestra primera herramienta son los análisis. Existen distintos tipos de análisis, puede que hayas escuchado alguno como el Análisis de Riesgo o el Análisis de Contexto.
Estos análisis lo que buscan es entender el contexto en el que nos encontramos, y a partir de ello identifiquemos potenciales amenazas, sus consideraciones y los actores involucrados a favor o en contra. Es así, que si logramos hacer un análisis adecuado podemos enfocarnos en las cosas importantes sin abrumarnos al respecto.
Sigue leyendo para mostrarte como hacer el análisis más sencillo que existe. Cabe mencionar que hay otros análisis que incluyen más elementos o variables y que pueden ser más robustos, sin embargo, si esta es la primera vez que realizas un ejercicio de este tipo te recomendamos comenzar con la versión sencilla.
Aprovecha para reflexionar de forma colectiva con tu grupo o equipo y compartir experiencias, sentires y tomar decisiones conjuntas.
? 1.Listar potenciales amenazas
Para comenzar con nuestro análisis, necesitamos realizar un listado de potenciales amenazas. Para ellos vamos a considerar una amenaza como toda aquella acción, evento o suceso que te represente un peligro o daño.
- Amenazas generales: Existen amenazas generales porque #LaVida, a las cuales todas las personas somos susceptibles. Por ejemplo, si vives en una ciudad con altos índices de crimen, la probabilidad de que te asalten en el transporte público o en la calle puede ser mayor. Otro ejemplo es, si vives en una ciudad con actividad sísmica, la probabilidad de que haya un sismo es mayor. Y todo eso sucede por el espacio y lugar en donde nos encontramos o el contexto de este mismo.
- Amenazas dirigidas: También existen otras amenazas que pueden ir dirigidas a tu persona por quien eres o por lo que haces. Estas amenazas dirigidas son principalmente preocupantes porque implican una intención de daño por un actor en concreto. A diferencia de las generales que le pueden pasar a cualquier persona, estas tienen un motivo e intención que requiere un mayor análisis y mayores medidas.
Dicho lo anterior, podemos comenzar a armar una lista de potenciales amenazas generales y amenazas dirigidas. Por ejemplo las siguientes dos listas.
- Amenazas generales
-
-
- Robo en transporte público
- Robo en calle
- …
-
- Amenazas dirigidas
-
- Robo de información
- Detención
- …
? 2. Identificar y precisar las amenazas
Si revisamos nuestro listado de amenazas puede que este se siga viendo general o con algunas ambigüedades.
Para solucionar esto necesitamos acotar mejor los escenarios o amenazas que tenemos identificados. Esto lo podemos hacer a través de algunas preguntas como las siguientes:
- ¿Qué quiero proteger?
- ¿Dónde se encuentra lo que quiero proteger?
- ¿De quién lo quiero proteger?
Tomando los ejemplos del listado anterior, podemos transformarlos a lo siguiente:
- Robo en transporte público
-
-
- ¿Qué quiero proteger?, la información importante que cargo conmigo.
- ¿Donde se encuentra lo que quiero proteger?, guardada en mi teléfono celular
- ¿De quién lo quiero proteger?, de los asaltantes que operan en el transporte público
-
- Robo en calle
-
- ¿Qué quiero proteger?, la información importante que cargo conmigo.
- ¿Donde se encuentra lo que quiero proteger?, guardada en mi teléfono celular
- ¿De quién lo quiero proteger?, de los asaltantes que operan en el transporte público
Si observamos con cuidado podemos identificar que lo que me preocupa no son los robos en sí mismos, si no que alguien acceda a la información que tengo en mi celular derivado de un robo en transporte público o en la calle. De este modo las amenazas que tenía identificadas se pueden convertir en Robo de mi dispositivo móvil durante un desplazamiento (en transporte público o en la calle).
Con esto podemos ver que la amenaza tiene un mayor nivel de detalle y nos permite analizarla mucho mejor.
De la misma manera podemos analizar las otras amenazas.
- Robo de información
- ¿Qué quiero proteger?, la información importante que tengo en mi cuenta de Google Drive
- ¿Donde se encuentra lo que quiero proteger?, en mi cuenta de Google
- ¿De quién lo quiero proteger?, de X persona o Y actor que quisiera espiarme o saber Z actividad de mi trabajo.
- Detención
- ¿Qué quiero proteger?, mi teléfono
- ¿Dónde se encuentra lo que quiero proteger?, conmigo en una movilización o acción en campo
- ¿De quién lo quiero proteger?, de X grupo policiaco o de Z grupo armado
Las amenazas anteriores las podemos modificar por Acceso no autorizado a mi cuenta de Google para el robo de información y Detención arbitraria por X grupo en Z actividad o Robo de teléfono en una detención arbitraria por X grupo en Z actividad.
En todo caso, lo que buscamos es ponerle nombre y apellido a las amenazas para que sean lo más precisas posibles. Si esta parte se te complica, puedes buscar una tipología de ataques o agresiones que ya le ponga el nombre, apellido y descripción a estas.
Desde Protege.la tenemos la Tipología de Ataques Digitales que te invitamos a revisar para que puedas nombrar e identificar los ataques digitales a los que podrías enfrentarte.
?️ 3. Medir el riesgo
Ahora que tenemos nuestro listado más preciso de amenazas, necesitamos asignarles una calificación o prioridad. Para esto podemos utilizar el riesgo.
El riesgo es la posibilidad de que una amenaza se vuelva realidad. Para medirlo o calcularlo, podemos asignar una medida o calificación a una amenaza con base en su probabilidad de suceder y el impacto o daño que puede generar. Así podemos decir que el Riesgo es igual al impacto por la probabilidad.
¿Cómo calcular o medir el riesgo de una amenaza?
Para medir el impacto y la probabilidad podemos utilizar valores cualitativos como alto impacto, alta probabilidad, medio impacto, media probabilidad, bajo impacto, probabilidad baja.
Así podemos intentar identificar qué tan probable es que una amenaza suceda y cuál sería su impacto. Esto lo podemos hacer en tabla como la siguiente,
| Amenaza | Probabilidad | Impacto |
| Robo de mi dispositivo móvil durante un desplazamiento
(en transporte público o en la calle) |
Alta | Medio |
| Acceso no autorizado a mi cuenta de Google para el robo de información | Baja | Alto |
| Robo de teléfono en una detención arbitraria por X grupo en Z actividad | Media | Alto |
Cabe mencionar que el valor de probabilidad o impacto que se le asigne a una amenaza requiere de una reflexión en donde realmente logremos indicar el porqué de ese valor asignado.
Para calcular el riesgo y poder asignar una prioridad de atención a mis amenazas, necesito asignar valores numéricos, los cuales puedo asociar de la siguiente manera:
- Bajo = 1
- Medio = 2
- Alto = 3
De tal modo que el riesgo los puedo expresar de la siguiente manera: riesgo = impacto * probabilidad
Y la tabla anterior puede quedar de la siguiente manera:
| Amenaza | Probabilidad | Impacto | Riesgo |
| Robo de mi dispositivo móvil durante un desplazamiento
(en transporte público o en la calle) |
Alta = 3 | Medio = 2 | 3 * 2 = 6 |
| Acceso no autorizado a mi cuenta de Google para el robo de información | Baja = 1 | Alto = 3 | 1 * 3 = 3 |
| Robo de teléfono en una detención arbitraria por X grupo en Z actividad | Media = 2 | Alto = 2 | 2 * 2 = 4 |
Ahora tanto la probabilidad como el impacto tienen un valor cuantitativo, el cual nos permite utilizarlos como valores numéricos para calcular el riesgo. También podemos observar que el riesgo tiene valores distintos para cada una de las amenazas, y por lo tanto ahora podemos identificar cual es la amenaza con un riesgo más alto y cual con uno más bajo.
Así, calculando el riesgo de las amenazas podemos ordenarlas de mayor a menor e identificar el orden en que debemos priorizar su atención. Para nuestro caso, el orden recomendado en que deberíamos de priorizar la atención de amenazas es:
- Primero, el robo de mi dispositivo móvil durante un desplazamiento (en transporte público o en la calle)
- Segundo, el robo de teléfono en una detención arbitraria por X grupo en Z actividad
- Tercero, el acceso no autorizado a mi cuenta de Google para el robo de información
? 4. Manos a la obra: crear tu plan, políticas y protocolos de seguridad
Ahora que ya contamos con un listado más claro y preciso de amenazas, y que le hemos asignado una prioridad, podemos comenzar a desarrollar nuestros planes, políticas y protocolos.
Identifica qué planes, políticas y protocolos necesitas
El primer paso es identificar bajo qué circunstancias podrían concretarse estas amenazas, y separarlas entre las que podrían suceder en cualquier momento por el contexto en el que vivo de manera general, y las que podrían suceder porque alguien explícitamente desea generar algún daño.
Leyendo nuestro listado, podemos pensar que el robo de mi dispositivo móvil durante un desplazamiento (en transporte público o en la calle) puede suceder en cualquier momento, por lo que puedo considerarla una amenaza general, lo cual nos puede llevar a pensar que esto debería estar contemplado en una Política de traslados o desplazamientos.
En el caso de robo de teléfono en una detención arbitraria por X grupo en Z actividad podemos leer que esto no es algo que pueda suceder todo el tiempo, si no que sucede en un momento muy específico o en una actividad concreta. Para mejorar el ejemplo podemos decir que se trata de una detención arbitraria por policías locales en una manifestación presencial. Con este nivel de detalle podemos pensar en el desarrollo de un Protocolo para manifestaciones en calle.
Por último, analizando el acceso no autorizado a mi cuenta de Google para el robo de información, podemos identificar que esto puede suceder ya sea de manera cotidiana por el simple hecho de que existen ciberdelincuentes comunes, o puede suceder en un momento coyuntural en donde un grupo en particular quisiera robar la información de mi cuenta por una motivación vinculada a mi trabajo.
En este último caso se puede pensar en una Política de seguridad para cuentas en línea en donde se especifican las acciones necesarias para prevenir el acceso no autorizado a una cuenta. Y también se puede pensar en un Protocolo para accesos no autorizados en cuentas en línea en el cual se describen los pasos a seguir en caso de que la primera política falle y se necesite detener el acceso no autorizado,
Toma nota de las medidas, acuerdos y estrategias para prevenir y responder a las amenazas
Te recomendamos que una vez identifiques cuales son las políticas o protocolos que necesitas, hagas un primer borrador y posteriormente busques validar esas ideas con personas que tengan conocimiento especializado en los temas vinculados a las amenazas que identificaste.
Por ejemplo, si tus políticas o protocolos están enfocados a seguridad digital, puedes consultar los contenidos de Protege.la para armar un borrador inicial y una vez que lo tengas nos lo puedes compartir a seguridad@socialtic.org para que te ayudemos a mejorarlo.
Recursos recomendados:
- El sitio de Seguridad Integral de Artículo 19 facilita distintas plantillas, ejercicios y recursos para la elaboración de análisis de riesgo, análisis de contexto, políticas y protocolos, hojas de vida, entre otros temas.
- Para hacer tu bitácora de incidentes, te recomendamos leer¿Por qué y cómo registrar y documentar incidentes? de SeguDigital.
Muchas gracias por la información que brinda el blog, me parece información muy valiosa.